一种企业合规管理风险评估信息化评价方法及系统

摘要

本申请提出了一种企业合规管理风险评估信息化评价方法及系统，涉及互联网及合规管理技术领域，包括：结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析；解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数；通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价。能够自动筛选出一定量企业合规管理风险评估辅助指标，企业合规管理风险进行综合评估。此外本申请还提出了一种企业合规管理风险评估信息化评价系统，包括：数据关联模块、风险分析模块及信息化评价模块。

说明书

技术领域

本申请涉及互联网及合规管理技术领域，具体而言，涉及一种企业合规管理风险评估信息化评价方法及系统。

背景技术

企业合规管理体系，本质上是管理体系的一种，但核心是合规。企业管理体系，有多种。如质量管理体系、环境管理体系，信息安全管理体系等。管理体系的建立与实施，有其一般规律。管理体系是一种有规律的重复发生的活动，指基于一定目标下，企业的(战略)计划、预算编制、执行和业绩评价等行为综合合规管理体系的重点明显应当是“合规”，且应融入到整个管理体系中，否则容易产生“合规”与“业务”两张皮的“普遍”现象。如何融入业务管理体系，成为合规管理发挥价值的出发点，也是合规管理体系的难点。它要求不仅要熟悉合规相关理论和操作，还要认识业务相关运转和特点。合规管理体系要有效落地，最终离不开人的推动和执行。因此，必须有相应的合规管理组织架构。同时，对于合规管理组织中的相关人员，如公司最高层管理者、首席合规官、合规团队及业务总监等都要有一个清晰的合规职责。除了强调赋予他们相应的职权以外，更重要的是强调他们对合规管理均负有相关责任。

合规问题产生的主要原因是外部环境，特别是法律、法规的变化，还有人们商业道德价值观的变迁，使得企业行为产生不合规的风险。一套有效的合规管理体系，不能简单地应对现有的法律法规，而是要适当走在法律法规的前面，即要有一定的前瞻性，才不至于被动。

目前，在建设合规管理体系之前，对其环境风险进行分析、预测和评估，仅根据合规管理体系项目涉及的物质、工艺系统的危险性、所在地的环境敏感程度等固有因素对合规管理体系项目环境风险进行预评价，而企业实际合规管理体系情况、管理水平的差异、保护措施及风险防范措施的落实情况等人为因素，都会导致企业发生环境突发环境事件发生的概率有较大差距，这些人为因素是在环境影响评价中无法预估和评价的。

发明内容

本申请的目的在于提供一种企业合规管理风险评估信息化评价方法，其能够自动筛选出一定量企业合规管理风险评估辅助指标，企业合规管理风险进行综合评估。

本申请的另一目的在于提供一种企业合规管理风险评估信息化评价系统，其能够运行一种企业合规管理风险评估信息化评价方法。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供一种企业合规管理风险评估信息化评价方法，其包括结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析；解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数；通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价。

在本申请的一些实施例中，上述结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析包括：风险数据评价矩阵分为五类，包括企业合规性指标、行业风险性指标、生产过程风险指标、污染防治措施指标、风险防范措施指标。

在本申请的一些实施例中，上述还包括：为合规管理风险评估模型的各评估模块的企业合规管理风险辅助评估指标，赋予分值范围和对应的评价标准。

在本申请的一些实施例中，上述解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数包括：已关联的企业数据设计信息化评价框架，即基础实现层和评估建模层，基础实现层以评估架构和风险库作为基础工作，评估建模层引入企业数据风险评估。

在本申请的一些实施例中，上述还包括：根据已关联的企业数据，进行数据分析、挖掘，勾画出专项企业合规特征图谱、行为特点、趋势，利用合规管理风险评估模型对该行为特征持续收集。

在本申请的一些实施例中，上述通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价包括：建立风险预警临界值的辅助标准，量化方法采用历史数据法对企业合规管理风险进行预警。

在本申请的一些实施例中，上述还包括：根据风险预警临界值的辅助标准进行针对性评估梳理，得出匹配度，即合规项占比率，结合历史数据法对企业合规管理风险进行信息化评价。

第二方面，本申请实施例提供一种企业合规管理风险评估信息化评价系统，其包括数据关联模块，用于结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析；

风险分析模块，用于解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数；

信息化评价模块，用于通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价。

在本申请的一些实施例中，上述包括：用于存储计算机指令的至少一个存储器；与上述存储器通讯的至少一个处理器，其中当上述至少一个处理器执行上述计算机指令时，上述至少一个处理器使上述系统执行：数据关联模块、风险分析模块及信息化评价模块。

第三方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如一种企业合规管理风险评估信息化评价方法中任一项的方法。

相对于现有技术，本申请的实施例至少具有如下优点或有益效果：

通过实施合规管理行为的组织架构与合规管理有关的制度与流程，这种合规管理行为运行机制、合规管理相关的反馈与改进行为，可保障合规管理持续、长久实施，合规文化也可降低合规管理体系运行成本。同时，合规文化又是企业合规风险防范的最后一道防线，因此合规文化塑造也应成为合规管理体系建立的重要组成部分，根据已有合规管理风险评估模型，自动筛选出关联性最大的企业环境风险辅助评估指标，优化方向明确，计算量小。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种企业合规管理风险评估信息化评价方法步骤示意图；

图2为本申请实施例提供的一种企业合规管理风险评估信息化评价方法详细步骤示意图；

图3为本申请实施例提供的一种企业合规管理风险评估信息化评价系统模块示意图；

图4为本申请实施例提供的一种电子设备。

图标：10-数据关联模块；20-风险分析模块；30-信息化评价模块；101-存储器；102-处理器；103-通信接口。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

需要说明的是，术语“包括”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的各个实施例及实施例中的各个特征可以相互组合。

实施例1

请参阅图1，图1为本申请实施例提供的一种企业合规管理风险评估信息化评价方法步骤示意图，其如下所示：

步骤S100，结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析；

在一些实施方式中，为了提高评估效率，在确定辅助评估指标之后，基于每个辅助评估指标均具有倾向性，对所有的辅助评估指标进行分类，分别从几个方向建立对应的评估模块，继而建立合规管理风险评估模型。通过合规管理风险评估模型进行合规风险识别与评估。合规义务来源于四方面：一是法律、法规、部门规章；二是企业内部规章制度；三是职业操守和道德规范；四是企业与其他主体签订的协议承诺。其次，合规管理行为指将合规管理付诸时间的一切相关行为。它先是包括实施合规管理行为的组织架构，这是人的基础。然后是与合规管理有关的制度与流程，这是制度的基础。再是那些合规管理行为运行机制，最后是合规管理相关的反馈与改进行为。合规文化可保障合规管理持续、长久实施，合规文化也可降低合规管理体系运行成本。同时，合规文化又是企业合规风险防范的最后一道防线。因此，合规文化塑造也应成为合规管理体系建立的重要组成部分。

步骤S110，解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数；

在一些实施方式中，通过解析的企业数据分别列明具有强制性的合规要求，如法律法规，监管部门发布的制度、条例或指导方针，法院或仲裁机构的裁决，条约、公约等以及企业的合规承诺，如与主管部门和客户签订的协议，自愿性原则或行为守则等。开展权责事项清理，形成权责清单。根据企业的业务流程制度和授权制度，清理和确定各类公众职责，识别对应的权力，形成权责清单。可基于业务流程来展开，也可以基于岗位职责来展开。最后，根据权责清单，计算企业的初始辅助评估指标的影响力系数，并启动风险评估工作，包括确定合规风险等级，形成风险排序，据此再拟定风险应对计划。

步骤S120，通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价。

在一些实施方式中，利用合规管理风险评估模型是希望通过评估目标信息可能遇到的安全风险，在综合考虑成本和效益的前提下对风险进行处理，最终将目标信息的风险降低到可容忍或可接受的风险水平，其主要步骤包括环境威胁识别，业务威胁识别，业务威胁识别，数据威胁识别，数据管理识别，数据资产识别，脆弱性识别，最后形成统一信息化风险评价。

实施例2

请参阅图2，图2为本申请实施例提供的一种企业合规管理风险评估信息化评价方法详细步骤示意图，其如下所示：

步骤S200，风险数据评价矩阵分为五类，包括企业合规性指标、行业风险性指标、生产过程风险指标、污染防治措施指标、风险防范措施指标。

步骤S210，为合规管理风险评估模型的各评估模块的企业合规管理风险辅助评估指标，赋予分值范围和对应的评价标准。

步骤S220，已关联的企业数据设计信息化评价框架，即基础实现层和评估建模层，基础实现层以评估架构和风险库作为基础工作，评估建模层引入企业数据风险评估。

步骤S230，根据已关联的企业数据，进行数据分析、挖掘，勾画出专项企业合规特征图谱、行为特点、趋势，利用合规管理风险评估模型对该行为特征持续收集。

步骤S240，建立风险预警临界值的辅助标准，量化方法采用历史数据法对企业合规管理风险进行预警。

步骤S250，根据风险预警临界值的辅助标准进行针对性评估梳理，得出匹配度，即合规项占比率，结合历史数据法对企业合规管理风险进行信息化评价。

在一些实施方式中，企业合规性指标从企业管理角度对风险进行辅助评估，例如，环保手续、安全手续、相关风险管理制度等是否齐全，危险化学品重大危险源是否备案等，此类指标从侧面对企业环境风险构成影响，例如危险化学品重大危险源是否备案直接影响企业涉及的物质、工艺系统的危险性评价。根据企业特性为每个分类设置评估总分。结合对应的影响力系数和所处分类的评估总分为每个分类下的企业环境风险辅助评估指标赋予分值范围和对应的评分标准。对已有合规管理风险评估模型进行优化，建立最终的合规管理风险评估模型。

实施例3

请参阅图3，图3为本申请实施例提供的一种企业合规管理风险评估信息化评价系统模块示意图，其如下所示：

数据关联模块10，用于结合企业现状和已有的合规管理风险评估模型，生成风险数据评价矩阵，并对企业数据进行关联分析；

风险分析模块20，用于解析已关联的企业数据，计算企业的初始辅助评估指标的影响力系数，影响力系数用于反映所对应的初始辅助评估指标对已有的合规管理风险评估模型的影响力系数；

信息化评价模块30，用于通过影响力系数提示风险发生的可能性，对企业合规管理风险进行预警及信息化评价。

如图4所示，本申请实施例提供一种电子设备，其包括存储器101，用于存储一个或多个程序；处理器102。当一个或多个程序被处理器102执行时，实现如上述第一方面中任一项的方法。

还包括通信接口103，该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块，处理器102通过执行存储在存储器101内的软件程序及模块，从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。

其中，存储器101可以是但不限于，随机存取存储器101(Random Access Memory，RAM)，只读存储器101(Read Only Memory，ROM)，可编程只读存储器101(ProgrammableRead-Only Memory，PROM)，可擦除只读存储器101(Erasable Programmable Read-OnlyMemory，EPROM)，电可擦除只读存储器101(Electric Erasable Programmable Read-OnlyMemory，EEPROM)等。

处理器102可以是一种集成电路芯片，具有信号处理能力。该处理器102可以是通用处理器102，包括中央处理器102(Central Processing Unit，CPU)、网络处理器102(Network Processor，NP)等；还可以是数字信号处理器102(Digital Signal Processing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请所提供的实施例中，应该理解到，所揭露的方法及系统，也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的方法及系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

另一方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器102执行时实现如上述第一方面中任一项的方法。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器101(ROM，Read-Only Memory)、随机存取存储器101(RAM，RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

综上所述，本申请实施例提供的一种企业合规管理风险评估信息化评价方法及系统，通过实施合规管理行为的组织架构与合规管理有关的制度与流程，这及合规管理行为运行机制、合规管理相关的反馈与改进行为，可保障合规管理持续、长久实施，合规文化也可降低合规管理体系运行成本。同时，合规文化又是企业合规风险防范的最后一道防线，因此合规文化塑造也应成为合规管理体系建立的重要组成部分，根据已有合规管理风险评估模型，自动筛选出关联性最大的企业环境风险辅助评估指标，优化方向明确，计算量小。

以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。